Într-un incident recent, lumea digitală a fost zguduită de apariția unui pachet npm periculos numit „oscompatible”. Publicat pe 9 ianuarie 2024, acesta a reușit să fie descărcat de 380 de ori înainte de a fi detectat și eliminat. Analiza efectuată de Phylum, o companie de securitate a lanțului de aprovizionare software, a dezvăluit că acest pachet conținea componente extrem de periculoase.
Printre acestea se numără un executabil, o bibliotecă cu linkuri dinamice (DLL) și un fișier DAT criptat, toate însoțite de un fișier JavaScript. Cel mai îngrijorător aspect al atacului este legat de fișierul JavaScript „index.js”, care declanșează un script batch „autorun.bat” activat doar pe sistemele de operare Microsoft Windows.
Scriptul verifica dacă sistemul rulează pe Windows iar în caz contrar, sugerează rularea pe „Windows Server OS”. În plus, verifică privilegiile de administrator, iar în lipsa acestora lansează o componentă Microsoft Edge numită „cookie_exporter.exe” prin comenzi PowerShell. Această acțiune declanșează o cerere UAC, solicitând acreditări de administrator pentru a rula binarul.
Odată ce acest obstacol este depășit, atacatorii declanșează un DLL troianizat („msedge.dll”) care utilizează tehnica de deturnare a ordinului de căutare a DLL pentru a decripta fișierul DAT („msedge.dat”). Acesta stabilește conexiuni cu un domeniu controlat de atacatori, „kdark1[.]com”, pentru a prelua o arhivă ZIP.
În interiorul acestei arhive ZIP, se ascund software-ul AnyDesk și un troian de acces la distanță („verify.dll”). Acesta poate primi instrucțiuni de la un server de comandă și control (C2) și colecta informații sensibile. Phylum a dezvăluit că pachetul instalează extensii Chrome, configurează AnyDesk, ascunde ecranul, dezactivează închiderea Windows și înregistrează activitățile de la tastatură și mouse.
Un aspect preocupant al incidentului este că „oscompatible” pare să fie doar vârful aisbergului, semnalând un interes în creștere al actorilor de amenințare față de ecosistemele software cu sursă deschisă (OSS). Procesul sofisticat de decriptare a datelor, utilizarea unui certificat revocat pentru semnare și extragerea altor fișiere din surse la distanță indică un nivel ridicat de complexitate în comparație cu incidentele obișnuite din ecosistemele OSS.
Firma de securitate cloud Aqua a raportat recent că 21,2% din cele mai descărcate 50.000 de pachete npm sunt depreciate, reprezentând un risc de securitate major. Aproximativ 2,1 miliarde de descărcări săptămânale sunt afectate, incluzând depozitele GitHub arhivate și șterse, precum și pachetele menținute fără un depozit vizibil.
Cercetătorii de securitate Ilay Goldman și Yakir Kadkoda au subliniat gravitatea situației, atunci când menținătorii, în loc să remedieze vulnerabilitățile de securitate, optează pentru deprecierea pachetelor, lăsând utilizatorii expuși la amenințări nedeclarate și potențial grave. Acest incident subliniază necesitatea unei atenții sporite față de securitatea ecosistemelor software cu sursă deschisă și a implementării unor măsuri eficiente pentru protejarea utilizatorilor.
Sursa: IDevice
2 comentarii. Leave new
Tot linux-ul e baza… 🙂
Tot Unix-ul este baza